Можно ли создать цепочку сертификатов от Root CA

Question

Можно ли создать цепочку сертификатов от Root CA

Это может звучать глупо, но я впервые исследую эту тему. Возможно ли создать цепочку сертификатов.

Итак, в настоящее время у нас есть эта структура:

Root CA --> Intermediate CA --> Issues certificates

Это структура, которую мы хотели бы:

Root CA --> Intermediate CA --> Another Intermediate CA --> Issue certs
                            --> Another Intermediate CA --> Issue certs
                            --> Another Intermediate CA --> Issue certs

Я провел небольшое исследование, но не могу выяснить, возможна ли эта цепная структура.

Мы хотим иметь Root CA в качестве промежуточного звена для подразделения, а затем другие промежуточные звенья для проектов в этом подразделении. Это поможет разделить любой ущерб, если он будет сделан.

0

ssl-certificate certificate x509certificate digicert

Источник

user1377504 12 авг '19 в 16:49

1 ответ

Решение

Другие вопросы по тегам ssl-certificate certificate x509certificate digicert

user3997611 12 авг '19 в 18:43 2019-08-12 18:43 · Accepted Answer · 2019-08-12 18:43

Иерархическая организация CA похожа на организацию папок со своими конкретными правилами. Каждый дополнительный центр сертификации увеличивает расходы на управление. Каждый новый уровень увеличивает время проверки цепочки сертификатов. Таким образом, вы должны поддерживать как минимум CA и как можно более короткие цепочки, насколько это целесообразно.

Минимальная рекомендуемая конфигурация двухуровневая:

Root CA --> Policy/Issuing CA --> End Entities

Корневой центр сертификации должен находиться в автономном режиме, не подключаться к какой-либо сети, использовать HSM и находиться в защищенной комнате. Потеря / компрометация корневого ЦС приводит к полному отказу PKI без каких-либо шансов отозвать его. Вот почему корневой ЦС обычно выдает сертификаты только другим ЦС, а не конечным объектам. В большинстве случаев он отключен и включается только при обновлении сертификата и публикации CRL.

Центр политики / выдачи построен ниже корневого уровня и работает напрямую с конечными объектами (потребителями сертификатов или подписчиками). Логически это установлено близко к большинству клиентов. Он включен и работает 24/7. Физическая безопасность такая же, как и для корневого ЦС: защищенная комната, HSM (индивидуальный или сетевой), строгий физический доступ к устройству. Компромисс выдачи CA все еще плох, но излечим. По крайней мере, только часть PKI взломана (определенная цепочка), и вы можете отозвать скомпрометированный сертификат CA без необходимости везде заменять root.

Если вам нужен отдельный CA для подразделений, сделайте это:

Root CA --> Policy/Issuing CA 1 --> End Entities
        --> Policy/Issuing CA 2 --> End Entities
        --> Policy/Issuing CA 3 --> End Entities

В такой конфигурации нет ничего плохого.